Политика конфиденциальности, защиты и обработки Персональных данных

1. Общие положения

1.1. Назначение.

Настоящий документ определяет политику ИП Едалов М.Ю. (далее по тексту - Компания, Оператор) в отношении обработки Персональных данных (далее - Политика).

ИП Едалов М.Ю, являясь Оператором, осуществляющим обработку Персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их Персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О Персональных данных" и принятыми в соответствии с ним нормативными правовыми актами.

Настоящий документ является общедоступным и подлежит размещению на официальном сайте roomax.ru

Локальные нормативные акты и другие документы, регламентирующие обработку Персональных данных в ИП Едалов М.Ю., разрабатываются с учетом положений Политики.

1.2. Определения и термины.

В рамках настоящей Политики используются следующие термины:

«Политика» – настоящая Политика конфиденциальности, защиты и обработки Персональных данных;

«Соглашение» – Пользовательское соглашение, размещённое на Сайте;

«Сайт» – программный продукт, представляющий собой совокупность веб-страниц, расположенных в сети Интернет под следующими доменными именами: roomax.ru

«Cookies» – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта;

«IP-адрес» – уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP;

«Пользователь» – любое право- и дееспособное физическое лицо либо уполномоченный представитель юридического лица, имеющее доступ к Сайту посредством сети Интернет и использующее Сайт;

«Продавец» – Пользователь Сайта, поставщик (организация или индивидуальный предприниматель), реализующий дистанционно через Сайт товар, информация о котором размещена на Сайте, и в отношении которого Покупатель осуществляет Заказ на Сайте;

«Покупатель» – Пользователь Сайта, осуществляющий поиск, выбор и Заказ Товара на Сайте.

«Компания», «Оператор» – администратор Сайта и оператор Персональных данных – ИП Едалов М.Ю.

Продавец, Покупатель, Компания совместно именуются Стороны.

«Товар» – объект купли–продажи, информация о котором размещена на Сайте;

«Договор» - Договор купли-продажи Товара, который заключается Продавцом и Покупателем;

«Заказ» – запрос Покупателя относительно Товара, осуществленный Покупателем посредством программно-технических средств Сайта (или по телефону, указанному на Сайте);

«Учётная запись Пользователя» – хранимая на Сайте совокупность данных о Пользователе, необходимая для его опознавания (аутентификации) и предоставления доступа к его личным данным и настройкам на Сайте;

«Личный кабинет» – Персональный раздел Пользователя на Сайте, связанный с Учётной записью Пользователя на Сайте, в котором он может совершать предусмотренные Компанией действия; является закрытой зоной Сайта, доступной только Пользователям, прошедшим процедуру регистрации;

«Регистрация» — совокупность действий Пользователя в соответствии с указанными на Сайте инструкциями, включая предоставление данных и иной информации, совершаемых Пользователем с использованием специальной формы пользовательского интерфейса Сайта в целях получения доступа к различному функционалу Сайта и формирования Личного кабинета.

«Персональные данные» – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту Персональных данных).

«Безопасность Персональных данных» – защищенность Персональных данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных.

«Персональная информация»:

- информация, предоставляемая Пользователем самостоятельно при регистрации (создании учетной записи) на Сайте или в процессе использования ресурсов Сайта, включая Персональные данные Пользователя;

- данные, которые передаются в автоматическом режиме Сайту в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере Пользователя (или иной программе, с помощью которой осуществляется доступ к Сайту), технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к Сайту, адреса запрашиваемых страниц и иная подобная информация;

- иная информация о Пользователе, обработка которой предусмотрена условиями использования Сайта.

«Обработка Персональных данных» - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных;

Автоматизированная обработка Персональных данных – обработка Персональных данных с помощью средств вычислительной техники.

Информационная система Персональных данных (ИСПДн) – совокупность содержащихся в базах данных Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

«Распространение Персональных данных» - действия, направленные на раскрытие Персональных данных неопределенному кругу лиц;

«Предоставление Персональных данных» - действия, направленные на раскрытие Персональных данных определенному лицу или определенному кругу лиц;

«Блокирование Персональных данных» - временное прекращение обработки Персональных данных (за исключением случаев, если обработка необходима для уточнения Персональных данных);

«Уничтожение Персональных данных» - действия, в результате которых становится невозможным восстановить содержание Персональных данных в информационной системе Персональных данных и (или) в результате которых уничтожаются материальные носители Персональных данных;

«Обезличивание Персональных данных» - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность Персональных данных конкретному субъекту Персональных данных;

«Трансграничная передача Персональных данных» - передача Персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Все термины, используемые в настоящем документе, имеют значение, используемые в законе и Пользовательском соглашении, размещенном в сети Интернет на Сайте.

1.3. Основные права и обязанности Оператора и субъектов Персональных данных.

1.3.1. Права и обязанности субъектов Персональных данных.

1.3.1.1. Субъекты, Персональные данные которых обрабатываются в Компании, имеют право:

1) на безвозмездное ознакомление со своими Персональными данными, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных";

2) на получение информации, касающейся обработки своих Персональных данных, в том числе содержащей:

- подтверждение факта обработки Персональных данных Компанией;

- правовые основания и цели обработки Персональных данных;

- цели и применяемые Компанией способы обработки Персональных данных;

- наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к Персональным данным или которым могут быть раскрыты Персональные данные на основании договора с Компанией или на основании федерального закона;

- обрабатываемые Персональные данные, относящиеся к соответствующему субъекту Персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки Персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом Персональных данных прав, предусмотренных Федеральным законом "О Персональных данных";

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку Персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные законодательством Российской Федерации;

3) требовать от Компании уточнения его Персональных данных, их блокирования или уничтожения в случае, если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

4) обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов Персональных данных или в судебном порядке;

5) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

1.3.1.2. Субъекты, Персональные данные которых обрабатываются в Компании, обязаны:

- сообщать достоверную информацию о себе и предоставлять документы, содержащие Персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными документами Компании России в объеме, необходимом для цели обработки;

- сообщать в Компанию об уточнении (обновлении, изменении) своих Персональных данных.

1.3.2. Права и обязанности работников Компании, обрабатывающих Персональные данные субъектов Персональных данных.

1.3.2.1. Работники Компании, обрабатывающие Персональные данные, в зависимости от целей обработки, указанных в разделе 2 настоящей Политики, вправе:

- получать документы, содержащие Персональные данные;

- требовать от субъекта Персональных данных своевременного уточнения предоставленных Персональных данных;

- передавать в установленном порядке Персональные данные третьим лицам.

1.3.2.2. Работники Компании, обрабатывающие Персональные данные субъектов Персональных данных, обязаны:

- обрабатывать Персональные данные, полученные в установленном действующим законодательством порядке;

- по факту личного обращения либо при получении письменного запроса субъекта Персональных данных или его представителя Оператор, при наличии оснований, обязан в течение 30 дней с даты обращения либо получения запроса субъекта Персональных данных или его представителя предоставить сведения в объеме, установленном Федеральным законом. Такие сведения должны быть предоставлены субъекту Персональных данных в доступной форме, и в них не должны содержаться Персональные данные, относящиеся к другим субъектам Персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких Персональных данных.

Все обращения субъектов Персональных данных или их представителей регистрируются в Журнале учета обращений граждан (субъектов Персональных данных) по вопросам обработки Персональных данных.

В случае отказа в предоставлении субъекту Персональных данных или его представителю при обращении либо при получении запроса субъекта Персональных данных или его представителя информации о наличии Персональных данных о соответствующем субъекте Персональных данных Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Закона о Персональных данных или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта Персональных данных или его представителя, либо с даты получения запроса субъекта Персональных данных или его представителя;

- предоставлять субъекту Персональных данных (законному представителю субъекта Персональных данных) возможность безвозмездного доступа к своим Персональным данным, обрабатываемым в Компании;

- в случае получения запроса от уполномоченного органа по защите прав субъектов Персональных данных о предоставлении информации, необходимой для осуществления деятельности указанного органа, Оператор обязан сообщить такую информацию в уполномоченный орган в течение 30 дней с даты получения такого запроса.

- в случае выявления неправомерной обработки Персональных данных при обращении или по запросу субъекта Персональных данных или его представителя либо уполномоченного органа по защите прав субъектов Персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых Персональных данных, относящихся к этому субъекту Персональных данных, с момента такого обращения или получения указанного запроса на период проверки.

- В случае выявления неправомерной обработки Персональных данных, осуществляемой Оператором, последний в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку Персональных данных. Об устранении допущенных нарушений Оператор обязан уведомить субъекта Персональных данных или его представителя, а в случае если обращение субъекта Персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов Персональных данных были направлены уполномоченным органом по защите прав субъектов Персональных данных, также указанный орган.

- в случае достижения цели обработки Персональных данных Оператор обязан прекратить обработку Персональных данных и уничтожить Персональные данные в срок, не превышающий 30 рабочих дней с даты достижения цели обработки Персональных данных, если иное не предусмотрено договором, стороной которого является субъект Персональных данных.

- принимать меры по уточнению, уничтожению Персональных данных субъекта Персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями;

- организовывать оперативное и архивное хранение документов Компании, содержащих Персональные данные субъектов Персональных данных, в соответствии с требованиями законодательства Российской Федерации.

1.3.2.3. Все сотрудники Оператора, осуществляющие обработку Персональных данных, обязаны хранить тайну о сведениях, содержащих Персональные данные, в соответствии с Политикой, требованиями законодательства РФ.

Лица, виновные в нарушении требований Политики, несут предусмотренную законодательством РФ ответственность.

Ответственность за соблюдение режима Персональных данных по отношению к Персональным данным, находящимся в базах данных Сайта, несут ответственные за обработку Персональных данных.

1.4. Принципы обработки Персональных данных.

- обработка Персональных данных должна осуществляться на законной и справедливой основе;

- обработка Персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка Персональных данных, несовместимая с целями сбора Персональных данных;

- не допускается объединение баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только Персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых Персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые Персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- при обработке Персональных данных должны быть обеспечены точность Персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки Персональных данных;

- хранение Персональных данных должно осуществляться не дольше, чем этого требуют цели обработки Персональных данных, если срок хранения Персональных данных не установлен Федеральным законом, договором, стороной которого является Пользователь;

- обрабатываемые Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.

1.5. Режим конфиденциальности Персональных данных.

Оператор обеспечивает конфиденциальность и безопасность Персональных данных при их обработке в соответствии с требованиями законодательства РФ.

Оператор не раскрывает третьим лицам и не распространяет Персональные данные без согласия на это субъекта Персональных данных, если иное не предусмотрено Федеральным законом.

В соответствии с перечнем Персональных данных, обрабатываемых на Сайте, Персональные данные Пользователей Сайта являются конфиденциальной информацией.

Лица, осуществляющие обработку Персональных данных, обязаны соблюдать требования регламентирующих документов Оператора в части обеспечения конфиденциальности и безопасности Персональных данных.

1.6. Лица, имеющие право доступа к Персональным данным.

Правом доступа к Персональным данным субъектов обладают лица, наделенные соответствующими полномочиями в соответствии со своими служебными обязанностями.

Перечень лиц, имеющих доступ к Персональным данным, утверждается Оператором.

2. Цели обработки Персональных данных.

Обработка Компанией Персональных данных осуществляется в следующих целях:

- обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- выполнение уставных задач и функций Компании, в соответствии с Уставом Компании, Гражданским Кодексом Российской Федерации и Федеральным законом Российской Федерации № 152 «О персональных данных»;

- осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании, или третьих лиц либо достижения общественно значимых целей;

- организация учета работников Компании для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия кандидату в трудоустройстве, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и нормативными актами Компании.

- осуществления трудовых отношений;

- ведения кадрового делопроизводства и личных дел работников;

- организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;

- обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

- выполнения требований законодательства в сфере труда и налогообложения;

- ведения текущего бухгалтерского и налогового учёта, формирования, изготовления и своевременной подачи бухгалтерской, налоговой и статистической отчётности;

- заполнения и передачи в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;

- формирования справочных материалов для внутреннего информационного обеспечения деятельности Компании;

- обеспечения пропускного режима в здания Компании;

- осуществления гражданско-правовых отношений;

- подготовки, заключения, исполнения и прекращения гражданско-правовых договоров;

- рассылки информационных и иных материалов по направлениям деятельности Компании;

- направления Пользователю сообщений, носящих рекламный характер;

- идентификации Пользователя в рамках сервисов Сайта для регистрации / создании Учетной записи, оформления Заказов;

- предоставления Пользователю доступа к персонализированным ресурсам Сайта;

- связи с Пользователем, включая направление уведомлений, запросов и информации, касающихся использования Сайта, исполнения соглашений и договоров, обработка запросов и заявок Пользователя;

- информирования о статусе Заказа;

- улучшения качества сервисов Сайта, удобства их использования, а также разработка новых сервисов Сайта;

- анализа и улучшения качества обслуживания Пользователей;

- заключения и исполнения договоров, одной из сторон которых является Пользователь;

- передачи Персональных данных Покупателя Продавцу;

- содействия в урегулировании претензий между Покупателем и Продавцом;

- проведения статистических и иных исследований на основе обезличенных данных;

- в целях обработки поступающих заявлений, передачи сведений о полученных заявлениях лицам, чьи действия предположительно могли привести к нарушению соответствующих прав, содействии в урегулировании претензий, принятия решения о применении предусмотренных пользовательскими документами Сайта мер ответственности к Продавцам или Покупателям;

- размещения Пользователями и Покупателями отзывов о Товарах и (или) Продавцах;

- в иных законных целях.

3. Правовые основания обработки Персональных данных.

Правовыми основаниями обработки Персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Компани осуществляет обработку Персональных данных, в том числе:

- Конституция Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Трудовой кодекс Российской Федерации

- Налоговый кодекс Российской Федерации;

- Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральный закон от 1 апреля 1996 года N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования";

- устав Компании и иные локальные нормативные акты Компании;

- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;

- согласие субъектов Персональных данных на обработку их Персональных данных.

4. Категории обрабатываемых Персональных данных,

категории субъектов Персональных данных.

В зависимости от целей, предусмотренных в разделе 2 настоящей Политики, в Компании могут обрабатываться Персональные данные следующих категорий субъектов:

1. Соискатели на должности в Компании:

- фамилия, имя, отчество;

- дата и место рождения;

- контактные данные;

- сведения о профессии, образовании, трудовой деятельности и иные Персональные данные, сообщаемые соискателем в резюме и сопроводительных письмах.

2. Работники Компании, в том числе уволившиеся:

- фамилия, имя, отчество (в т.ч. и прежние);

- пол;

- дата и место рождения;

- изображение (фотография);

- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство;

- адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания;

- номера телефонов (мобильного и домашнего);

- сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, ученое звание, владение иностранными языками и другие сведения).

- сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения и другие сведения).

- сведения о трудовой деятельности (данные о трудовой занятости на текущее время с полным указанием должности, подразделения, наименования, адреса и телефона Компании, а также реквизитов других организаций с полным наименование занимаемых ранее в них должностей и времени работы в этих организациях, а также другие сведения).

- сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней.

- содержание и реквизиты трудового договора с работником Компании или гражданско-правового договора с гражданином.

- сведения о заработной плате (номера счетов для расчета с работниками, данные схем вознаграждения с клиентами или партнерами, в том числе номера их спецкартсчетов).

- сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии\снятии на(с) учет(а) и другие сведения).

- сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруга(и), фамилии, имена, отчества и даты рождения других членов семьи, иждивенцев и другие сведения).

- страховой номер индивидуального лицевого счета (СНИЛС);

- сведения об идентификационном номере налогоплательщика.

- сведения из страховых полисов обязательного (добровольного) медицинского страхования (в том числе данные соответствующих карточек медицинского страхования).

- сведения, указанные в оригиналах и копиях приказов по личному составу Компании и материалах к ним.

- сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид нормативного акта о награждении или дата поощрения) работников Компании.

- сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса, и другие сведения).

- сведения об инвалидности;

- сведения об удержании алиментов;

- сведения о доходе с предыдущего места работы;

- иные Персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

3. Лица, входящие в органы управления, Руководитель и собственники Компании:

- фамилия, имя, отчество;

- паспортные данные (копия паспорта);

- сведения о трудовой деятельности;

- образование;

- индивидуальный номер налогоплательщика;

- адрес проживания;

- фотография;

- контактные номера телефона;

- адреса электронной почты.

4. Лица, заключающие и/или исполняющие гражданско-правовые договоры с Компанией:

- фамилия, имя, отчество;

- паспортные данные (копия паспорта);

- страховой номер индивидуального лицевого счета (СНИЛС);

- индивидуальный номер налогоплательщика (при наличии);

- основной государственный регистрационный номер индивидуального предпринимателя (ОГРНИП);

- банковские реквизиты;

- адрес места жительства (по паспорту и фактический);

- контактные номера телефона;

- адреса электронной почты.

5. Лица, включаемые в перечень рассылки информационных и иных материалов:

- фамилия, имя, отчество;

- паспортные данные (копия паспорта);

- адрес регистрации по месту жительства;

- сведения о месте работы;

- должность;

- адреса электронной почты;

- контактные номера телефона.

6. Компания может создавать внутренние справочные материалы, в которые с письменного согласия субъекта Персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться:

- фамилия, имя, отчество;

- должность;

- наименование подразделения;

- адреса электронной почты;

- контактные номера телефона;

- иные Персональные данные, сообщаемые субъектом Персональных данных для указанных целей.

7. Пользователи Сайта:

- фамилия, имя, отчество;

- дата рождения;

- гражданство;

- индивидуальный номер налогоплательщика (при наличии);

- адреса электронной почты;

- контактные номера телефонов;

- почтовый адрес.

8. Лица, обращающиеся в Компанию с заявлениями о предполагаемом нарушении их прав и прав третьих лиц (правообладатель или иное лицо, чье право предположительно было нарушено, и (или) заявитель, если он действует в качестве уполномоченного представителя правообладателя или иного лица, чье право предположительно было нарушено):

- фамилия, имя, отчество;

- дата рождения;

- паспортные данные (данные иного документа, удостоверяющего личность);

- адрес электронной почты;

- контактный номер телефона.

5. Порядок и условия обработки Персональных данных.

5.1. Обработка Персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

Содержание и объем обрабатываемых Персональных данных соответствуют заявленным целям обработки. Обрабатываемые Персональные данные не являются избыточными по отношению к заявленным целям обработки.

При Обработке Персональных данных обеспечивается точность Персональных данных и их достаточность, в случаях необходимости - и актуальность Персональных данных по отношению к заявленным целям их обработки.

Обработка в Компании биометрических Персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.

В Компании не осуществляется обработка Персональных данных специальных категорий, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости.

Компания получает информацию об идентификаторе устройства Пользователя Сайта, подключённого к локальной сети и/или сети Интернет (IP-адресе). Данная информация используется исключительно в статистических целях и не используется для установления личности Пользователя.

5.2. При обработке Персональных данных Компания обязана:

- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных;

– давать ответы на запросы и обращения субъектов Персональных данных, их представителей и уполномоченного органа по защите прав субъектов Персональных данных.

Компания обеспечивает Обработку Персональных данных с использованием баз данных, находящихся на территории России, и может осуществлять трансграничную передачу Персональных данных.

5.3. Обработка Персональных данных осуществляется с согласия субъектов Персональных данных, если иное не предусмотрено законодательством Российской Федерации.

Регистрация на Сайте и использование Сайта и сервисов Сайта Пользователем означает его безоговорочное согласие с настоящей Политикой и указанными в ней условиями обработки Персональных данных Пользователя, в том числе с условиями передачи Персональных данных третьим лицам, в частности – Продавцам.

В случае несогласия Пользователя с условиями настоящей Политики, Пользователь должен воздержаться от пользования Сайтом.

5.4. Обработка Персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

К обработке Персональных данных допускаются только те работники Компании, в должностные обязанности которых входит обработка Персональных данных.

Указанные работники имеют право получать только те Персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

5.5. Персональные данные, указанные в пунктах выше, могут быть получены Компанией одним из следующих способов:

- получения, в устной и письменной форме, непосредственно от субъектов Персональных данных.

В частности, предоставлены субъектами Персональных данных путем заполнения соответствующих форм на Сайте, посредством направления корреспонденции или электронных писем на адреса электронной почты Компании;

- получения от третьих лиц в случаях, предусмотренных Политикой.

В частности, Персональные данные Покупателей могут быть получены Компанией непосредственно от Продавцов или иных контрагентов Компании в связи с исполнением поручений Продавца и (или) выполнением иных действий, предусмотренных действующим законодательством Российской Федерации.

– предоставления субъектами Персональных данных оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.);

- копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН,

пенсионное свидетельство, и др.);

- получения заверенных в установленном порядке копий документов, содержащих Персональные данные или копирования оригиналов документов;

- получения Персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;

- получения Персональных данных из общедоступных источников;

- фиксации (регистрации) Персональных данных в журналах, книгах, реестрах и других учетных формах;

- внесения сведений в учетные формы;

- внесения Персональных данных в информационные системы Компании;

- использования иных средств и способов фиксации Персональных данных, получаемых в рамках осуществляемой Компанией деятельности.

5.6. Передача Персональных данных третьим лицам (в том числе трансграничная передача) допускается с согласия субъектов Персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов Персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.

При передаче Персональных данных третьим лицам в соответствии с заключенными договорами Компания обеспечивает обязательное выполнение требований законодательства Российской Федерации в области Персональных данных.

Передача Персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел Российской Федерации, Министерство иностранных дел Российской Федерации, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и другие) осуществляется в соответствии с требованиями законодательства Российской Федерации.

Трансграничная передача Персональных данных на территории иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке Персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов Персональных данных, осуществляется в соответствии с Федеральным законом "О Персональных данных" и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Трансграничная передача Персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами Российской Федерации при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности Персональных данных положениям Конвенции.

5.7. Компания вправе поручить обработку Персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов Персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку Персональных данных по поручению Компании, обязаны соблюдать принципы и правила обработки Персональных данных, предусмотренные законодательством Российской Федерации в области Персональных данных.

В случае, когда Компания на основании договора передает или поручает обработку Персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности Персональных данных при их передаче или обработке.

Лица, осуществляющие Обработку Персональных данных на основании заключаемого с Компанией договора, включая Продавцов и службы доставки, обязуются соблюдать принципы и правила обработки и защиты Персональных данных, предусмотренные действующим законодательством Российской Федерации.

Для каждого третьего лица в договоре определяются перечень действий (операций) с Персональными данными, которые будут совершаться третьим лицом, осуществляющим Обработку Персональных данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность Персональных данных при их обработке, указываются требования к защите обрабатываемых Персональных данных в соответствии с действующим законодательством Российской Федерации.

5.8. Хранение Персональных данных в Компании осуществляется в форме, позволяющей определить субъекта Персональных данных не дольше, чем этого требуют цели их обработки. При достижении целей обработки Персональных данных, а также в случае отзыва субъектом Персональных данных согласия на их обработку Персональные данные подлежат уничтожению, если:

- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект Персональных данных, иным соглашением между Компанией и субъектом Персональных данных;

- Компания не вправе осуществлять обработку без согласия субъекта Персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами.

Сроки хранения Персональных данных в Компании определяются в соответствии с законодательством Российской Федерации и нормативными актами Компании в области документооборота.

Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

Персональные данные, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

Не допускается хранение и размещение документов, содержащих Персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПДн.

Хранение Персональных данных в форме, позволяющей определить субъекта Персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

5.9. Файлы cookie, передаваемые Сайтом оборудованию Пользователя и оборудованием Пользователя Сайту, могут использоваться Сайтом для предоставления Пользователю персонализированных сервисов, для таргетирования рекламы, которая показывается Пользователю, в статистических и исследовательских целях, а также для улучшения Сайта.

Пользователь осознает, что оборудование и программное обеспечение, используемые им для посещения сайтов в сети интернет могут обладать функцией запрещения операций с файлами cookie (для любых сайтов или для определенных сайтов), а также удаления ранее полученных файлов cookie.

Структура файла cookie, его содержание и технические параметры определяются Сайтом и могут изменяться без предварительного уведомления Пользователя.

Счётчики, размещенные Сайтом, могут использоваться для анализа файлов cookie Пользователя, для сбора и обработки статистической информации об использовании Сайта, а также для обеспечения работоспособности Сайта в целом или их отдельных функций в частности. Технические параметры работы счетчиков определяются Сайтом и могут изменяться без предварительного уведомления Пользователя.

Пользователи могут удалить cookie-файлы, сохраненные в папке обозревателя на их компьютере.

5.10. Сроки обработки и хранения Персональных данных определяются исходя из целей Обработки Персональных данных, в соответствии со сроком действия договоров с субъектами Персональных данных, требованиями действующего законодательства; Персональные данные хранятся не дольше, чем этого требуют цели их обработки, по достижению которых Персональные данные подлежат уничтожению, в частности:

- Персональные данные зарегистрированных Пользователей хранятся в течение всего срока действия Учетной записи Пользователя;

- Персональные данные незарегистрированного Пользователя хранятся в течение трех лет с момента оформления Заказа такого Пользователя;

- Персональные данные иных лиц, обращающихся в Компанию с заявлениями о предполагаемом нарушении их прав - в течение всего срока обработки и рассмотрения соответствующих претензий и в течение трех лет с момента завершения обработки и (или) рассмотрения претензии, если законодательством не предусмотрен иной срок исковой давности для соответствующих споров.

- Персональные данные физических лиц, состоящих с Компанией в трудовых отношениях, а также физических лиц, уволившихся из Компании, хранятся в течение срока, установленного действующим законодательством РФ.

- Персональные данные физических лиц, являющихся кандидатами на работу, в случае отказа в приеме на работу, должны быть уничтожены в течение 30 дней.

5.11. Уничтожение Персональных данных.

Персональные данные, срок обработки и хранения которых истек, должны быть уничтожены, если иное не предусмотрено законодательством Российской Федерации.

Уничтожение документов (носителей), содержащих Персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

Факт уничтожения Персональных данных подтверждается документально актом об уничтожении носителей.

Хранение Персональных данных после прекращения их обработки допускается только после их обезличивания.

Обрабатываемые Персональные данные подлежат уничтожению или обезличиванию при отзыве согласия на их обработку субъектом Персональных данных, по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством Российской Федерации.

6. Условия и порядок обработки Персональной информации.

Пользователя Сайта.

6.1. Обработка Персональной информации Пользователя осуществляется Компанией в соответствии с действующим законодательством Российской Федерации, с соблюдением принципов и правил, предусмотренных Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О Персональных данных».

6.2. Компания сохраняет конфиденциальность в отношении Персональной информации Пользователя, кроме случаев добровольного предоставления, указанной информации Пользователем для общего доступа неограниченному кругу лиц.

Пользователь настоящим соглашается с тем, что Компания вправе передавать Персональные данные Пользователя третьим лицам, в частности курьерским службам, организациям почтовой связи, а также иным третьим лицам, в целях исполнения заказа Пользователя, оформленного на Сайте.

Передача Персональной информации, предоставленной Пользователем, третьим лицам может быть произведена Компанией в следующих случаях:

- Пользователь выразил свое согласие Компании на передачу Персональной информации;

- Передача Персональной информации необходима для использования Пользователем сервисов Сайта;

- Передача необходима для функционирования и работоспособности самого Сайта;

- Передача Персональной информации предусмотрена действующим законодательством Российской Федерации;

- Передача обезличенных данных, полученных в результате обезличивания Персональной информации;

- Такая передача происходит в рамках продажи или иной передачи бизнеса (полностью или в части), при этом все права и обязательства Компании по соблюдению условий настоящей Политики переходят к приобретателю бизнеса в полном объеме;

- Передача Персональной информации в целях обеспечения защиты законных прав и интересов Компании и/или третьих лиц, в случаях нарушения Пользователем условий Соглашения, настоящей Политики и иных документов, содержащих в себе условия использования Сайта.

Политика конфиденциальности Персональных данных действует в отношении всей информации, которую Компания может получить о Пользователе во время использования им Сайта или услуг Компании и/или партнеров Компании.

6.3. Компания принимает все необходимые организационные и технические меры для защиты Персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, копирования, блокирования, распространения и иных неправомерных действий третьих лиц.

6.4. Компания не проверяет достоверность Персональной информации, предоставляемой Пользователем, не имеет возможности оценивать его дееспособность, и исходит из того, что Пользователь предоставляет достоверную и достаточную информацию о себе и поддерживает эту информацию в актуальном состоянии.

Компания не несет ответственности за использование (как правомерное, так и неправомерное) третьими лицами информации, размещенной Пользователем на Сайте в общем доступе, включая её воспроизведение и распространение, осуществленные всеми возможными способами.

Компания не контролирует и не несет ответственность за обработку информации сайтами третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте.

6.5. Компания может изменить (обновить, дополнить), предоставленную Пользователем Персональную информацию, в том числе часть, предоставленной Пользователем информации, по письменному запросу Пользователя.

Компания может удалить, предоставленную Пользователем Персональную информацию, в том числе часть, предоставленной Пользователем информации, по письменному запросу Пользователя.

6.6. Пользователь может в любой момент изменить (обновить, дополнить) предоставленную им Персональную информацию или её часть, обратившись к Сайту по контактам в разделе «Контакты».

Права, предусмотренные предыдущим абзацем настоящей Политики могут быть ограничены в соответствии с требованиями законодательства Российской Федерации. Например, такие ограничения могут предусматривать обязанность Сайта сохранить измененную или удаленную Пользователем информацию на срок, установленный законодательством, и передать такую информацию в соответствии с законодательно установленной процедурой государственному органу.

6.7. Порядок и сроки хранения Персональных данных на Сайте.

Оператор осуществляет только хранение Персональных данных Пользователей на Сайте.

Сроки хранения Персональных данных Пользователей на Сайте определены условиями Пользовательского соглашения, вводятся в действие с момента принятия (акцепта) Пользователем данного соглашения на Сайте и действуют до тех пор, пока Пользователь не заявит о своем желании удалить свои Персональные данные с Сайта.

В случае удаления данных с Сайта по инициативе одной из сторон, а именно прекращения использования Сайта, Персональные данные Пользователя хранятся в базах данных Оператора пять лет в соответствии с законодательством РФ.

По истечении вышеуказанного срока хранения Персональных данных Пользователя Персональные данные Пользователя удаляются автоматически заданным алгоритмом, который задает Оператор.

Оператором не ведется обработка Персональных данных Пользователей на бумажных носителях информации.

6.8. Блокирование Персональных данных.

Под блокированием Персональных данных понимается временное прекращение Оператором операций по их обработке по требованию Пользователя при выявлении им недостоверности обрабатываемых сведений или неправомерных, по мнению субъекта Персональных данных, действий в отношении его данных.

Блокирование Персональных данных на Сайте осуществляется на основании письменного заявления от субъекта Персональных данных.

6.9. Уничтожение Персональных данных.

Под уничтожением Персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание Персональных данных на Сайте и/или в результате которых уничтожаются материальные носители Персональных данных.

Субъект Персональных данных вправе в письменной форме требовать уничтожения своих Персональных данных в случае, если Персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

В случае отсутствия возможности уничтожения Персональных данных Оператор осуществляет блокирование таких Персональных данных.

Уничтожение Персональных данных осуществляется путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением).

7. Условия пользования Сайтом, сервисами Сайта.

7.1. Пользователь при пользовании Сайтом, сервисами Сайта и оставляя свои данные на Сайте, соглашается с тем и подтверждает, что:

- он внимательно и в полном объеме ознакомился с настоящей Политикой и содержащимися в ней условиями Обработки его Персональной информации, в том числе Персональными данными;

- все положения настоящей Политики и условия обработки его Персональной информации, в том числе Персональных данных, ему понятны;

- указанные им Персональные данные принадлежат лично ему;

- дает согласие на обработку Компанией и лицами, входящими в группу компаний Компании, Персональных и иных данных Пользователя, их передачу (в том числе трансграничную передачу на территорию иностранных государств, передачу Продавцу);

- выражает согласие с условиями Обработки Персональных данных без каких-либо оговорок и ограничений;

- проставление галочки под ссылкой на настоящую Политику и/или при регистрации на Сайте/создании Учетной записи Пользователя на Сайте является предоставлением согласия Пользователем на сбор, обработку, хранение Персональной информации, включая Персональные данные Пользователя, а также передачу Персональной информации, включая Персональные данные, третьим лицам.

7.2. Если Пользователь не согласен с условиями настоящей Политики, то он должен немедленно удалить свой профиль/свою Учётную запись Пользователя с Сайта, в противном случае продолжение использования Пользователем Сайта означает, что Пользователь согласен с условиями настоящей Политики.

7.3. Компания вправе использовать технологию «cookies». «Cookies» не содержат конфиденциальную информацию и не передаются третьим лицам.

7.4. Компания получает информацию об IP-адресе Пользователя Сайта. Данная информация не используется для установления личности Пользователя.

7.5. Компания не несет ответственности за сведения, предоставленные Пользователем на Сайте в общедоступной форме.

8. Защита Персональных данных.

8.1. Оператор при обработке Персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Персональных данных

от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных.

В соответствии с требованиями нормативных документов Оператором создана система защиты Персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

8.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

8.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

8.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту Персональных данных.

8.5. Основными мерами защиты Персональных данных, используемыми Оператором, являются:

8.5.1. Назначение лица, ответственного за обработку Персональных данных, которое осуществляет организацию обработки Персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите Персональных данных.

8.5.2. Определение актуальных угроз безопасности Персональных данных при их обработке в ИСПДн и разработка мер и мероприятий по защите Персональных данных.

Оценка эффективности принимаемых мер по обеспечению безопасности Персональных данных до ввода в эксплуатацию ИСПДн.

8.5.3. Принятие локальных нормативных актов и иных документов в области обработки и защиты Персональных данных; разработка политики в отношении обработки Персональных данных.

8.5.4. Установление правил доступа к Персональным данным, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с Персональными данными в ИСПДн.

8.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

8.5.6. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации.

8.5.7. Применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами.

8.5.8. Соблюдение условий, обеспечивающих сохранность Персональных данных и исключающих несанкционированный к ним доступ.

8.5.9. Создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются Персональные данные;

8.5.10. Организация учета материальных носителей Персональных данных и информационных систем, в которых обрабатываются Персональные данные; учет машинных носителей Персональных данных;

8.5.11. Хранение материальных носителей Персональных данных с соблюдением условий, обеспечивающих сохранность Персональных данных и исключающих несанкционированный доступ к ним;

8.5.12. Обособление Персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;

8.5.13. Обеспечение раздельного хранения материальных носителей Персональных данных, на которых содержатся Персональные данные разных категорий или содержатся Персональные данные, обработка которых осуществляется в разных целях;

8.5.14. Установление запрета на передачу Персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения установленных в Компании мер по обеспечению безопасности Персональных данных;

8.5.15. Обеспечение защиты документов, содержащих Персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;

8.5.16. Выявление фактов несанкционированного доступа к Персональным данным и принятие мер.

8.5.17. Восстановление Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

8.5.18. Обучение работников Оператора, непосредственно осуществляющих обработку Персональных данных, положениям законодательства РФ о Персональных данных, в том числе требованиям к защите Персональных данных, документам, определяющим политику Оператора в отношении обработки Персональных данных, локальным актам по вопросам обработки Персональных данных.

8.5.19. Осуществление внутреннего контроля и аудита за принимаемыми мерами по обеспечению безопасности Персональных данных и уровня защищенности информационных систем Персональных данных

8.6. Для целей Политики под угрозами безопасности Персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к Персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение Персональных данных, а также иные неправомерные действия при их обработке в информационной системе Персональных данных. Под уровнем защищенности Персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности Персональных данных при их обработке в информационной системе Персональных данных.

8.7. Защищаемые сведения о субъекте Персональных данных.

К защищаемым сведениям о субъекте Персональных данных на Сайте относятся данные, позволяющие идентифицировать субъект Персональных данных и/или получить о нем дополнительные сведения, предусмотренные законодательством и Положением.

8.8. Защищаемые объекты Персональных данных.

К защищаемым объектам Персональных данных относятся:

– объекты информатизации и программно-технические средства обработки автоматизированной обработки информации, содержащей Персональные данные;

– технологическая информация, информационные ресурсы (базы данных, файлы и др.), содержащие информацию об информационно-телекоммуникационных системах, в которых циркулируют Персональные данные, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

– каналы связи, которые используются для передачи Персональных данных в виде информативных электрических сигналов и физических полей; каналы информационного обмена и телекоммуникации;

- объекты и помещения, в которых размещены компоненты ИСПДн.

– отчуждаемые носители информации на магнитной, магнитно-оптической и иной основе, применяемые для обработки Персональных данных;

- средства защиты персональных данных.

Технологическая информация об информационных системах и элементах системы защиты Персональных данных, подлежащая защите, включает:

– сведения о системе управления доступом на объекты информатизации, на которых осуществляется обработка Персональных данных;

– управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

– технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

– характеристики каналов связи, которые используются для передачи Персональных данных в виде информативных электрических сигналов и физических полей;

– информация о средствах защиты Персональных данных, их составе и структуре, принципах и технических решениях защиты;

– служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Персональных данных.

Программно-технические средства включают в себя:

- общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и др.);

- резервные копии общесистемного программного обеспечения;

- инструментальные средства и утилиты систем управления ресурсами ИСПДн;

- аппаратные средства обработки ПДн (автоматизированные рабочие места и серверы);

-сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.);

Средства защиты персональных данных состоят из аппаратно-программных средств и включают в себя:

- средства управления и разграничения доступа пользователей;

- средства обеспечения регистрации и учета действий с информацией;

- средства, обеспечивающие целостность данных;

- средства антивирусной защиты;

- средства межсетевого экранирования;

- средства криптографической защиты ПДн при их передаче по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации

Каналы информационного обмена и телекоммуникации являются объектами защиты, так как по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения, в которых размещены компоненты ИСПДн

Объекты и помещения являются объектами защиты, так как в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

8.9. Требования к системе защиты Персональных данных.

Система защиты Персональных данных должна соответствовать требованиям постановления Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите Персональных данных при их обработке в информационных системах Персональных данных».

Система защиты Персональных данных должна обеспечивать:

– своевременное обнаружение и предотвращение несанкционированного доступа к Персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

– недопущение воздействия на технические средства автоматизированной обработки Персональных данных, в результате которого может быть нарушено их функционирование;

– возможность незамедлительного восстановления Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

– постоянный контроль за обеспечением уровня защищенности Персональных данных.

Средства защиты информации, применяемые в информационных системах, должны в установленном порядке проходить процедуру оценки соответствия.

8.10. Методы и способы защиты информации в информационных системах Персональных данных.

Методы и способы защиты информации в информационных системах Персональных данных Оператора должны соответствовать требованиям:

– приказа ФСТЭК от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности Персональных данных при их обработке в информационных системах Персональных данных»;

– приказа ФСБ от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности Персональных данных при их обработке в информационных системах Персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите Персональных данных для каждого из уровней защищенности» (в случае определения Оператором необходимости использования средств криптографической защиты информации для обеспечения безопасности Персональных данных).

Основными методами и способами защиты информации в информационных системах Персональных данных Пользователей являются методы и способы защиты информации от несанкционированного, в том числе случайного, доступа к Персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение Персональных данных, а также иных несанкционированных действий (далее – методы и способы защиты информации от НСД).

Выбор и реализация методов и способов защиты информации на Сайте осуществляется в соответствии с рекомендациями регуляторов в области защиты информации – ФСТЭК России и ФСБ России, с учетом определяемых Оператором угроз безопасности Персональных данных (модели угроз) и в зависимости от класса информационной системы.

Выбранные и реализованные методы и способы защиты информации на Сайте должны обеспечивать нейтрализацию предполагаемых угроз безопасности Персональных данных при их обработке.

8.11. Меры защиты информации, составляющей Персональные данные.

Меры по охране баз данных, содержащих Персональные данные, принимаемые Оператором, должны включать в себя:

– определение перечня информации, составляющей Персональные данные;

– ограничение доступа к информации, содержащей Персональные данные, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка.

Меры по охране конфиденциальности информации признаются разумно достаточными, если:

– исключается доступ к Персональным данным любых третьих лиц без согласия Оператора;

– обеспечивается возможность использования информации, содержащей Персональные данные, без нарушения законодательства о Персональных данных;

– при работе с Пользователем устанавливается такой порядок действий Оператора, при котором обеспечивается сохранность сведений, содержащих Персональные данные Пользователя.

Персональные данные не могут быть использованы в целях, противоречащих требованиям Федерального закона, защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

8.12. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Компании в сфере обработки и защиты Персональных данных определяется в соответствии с законодательством Российской Федерации.

9. Ответы на запросы субъектов на доступ к Персональным данным. Актуализация, исправление, удаление и уничтожение Персональных данных.

9.1. Сведения, указанные в части 7 статьи 14 Федерального закона "О Персональных данных", предоставляются субъекту Персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта Персональных данных или его представителя.

Сведения предоставляются в доступной форме, в них не включаются Персональные данные, относящиеся к другим субъектам Персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких Персональных данных.

Если в обращении (запросе) субъекта Персональных данных не отражены в соответствии с требованиями Федерального закона "О Персональных данных" все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Запрос должен содержать данные основного документа, удостоверяющего личность субъекта Персональных данных или его представителя, сведения, подтверждающие участие субъекта Персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки Персональных данных Компанией, подпись (в том числе электронная) субъекта Персональных данных или его представителя.

Сведения, указанные в части 7 статьи 14 Федерального закона "О Персональных данных",

предоставляются субъекту Персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта Персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта Персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта Персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки Персональных данных Оператором, подпись субъекта Персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Право субъекта Персональных данных на доступ к его Персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона "О Персональных данных" в том числе, если доступ субъекта Персональных данных к его Персональным данным нарушает права и законные интересы третьих лиц.

9.2. В срок, не превышающий семи рабочих дней со дня предоставления субъектом Персональных данных или его представителем сведений, подтверждающих, что Персональные данные являются неполными, неточными или неактуальными, Компания вносит в них необходимые изменения.

В срок, не превышающий семи рабочих дней со дня представления субъектом Персональных данных или его представителем сведений, подтверждающих, что такие Персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания уничтожает такие Персональные данные.

Компания уведомляет субъекта Персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым Персональные данные этого субъекта были переданы.

Компания обязана сообщить в уполномоченный орган по защите прав субъектов Персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

Формы запросов (обращений) субъектов Персональных данных и их представителей приведены в приложениях 1 - 4 к настоящей Политике.

9.3. Согласие на обработку Персональных данных может быть отозвано субъектом Персональных данных.

В случае отзыва субъектом Персональных данных согласия на обработку его Персональных данных Компания прекращает их обработку или обеспечивает прекращение такой обработки (если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение Персональных данных более не требуется для целей обработки Персональных данных, уничтожает Персональные данные или обеспечивает их уничтожение (если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект Персональных данных, иным соглашением между Оператором и субъектом Персональных данных либо если Компания не вправе осуществлять обработку Персональных данных без согласия субъекта Персональных данных на основаниях, предусмотренных Федеральным законом "О Персональных

данных" или другими федеральными законами.

В случае отсутствия возможности уничтожения Персональных данных в течение вышеуказанного срока Компания осуществляет блокирование таких Персональных данных или обеспечивает их блокирование (если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение Персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

В случае отзыва субъектом Персональных данных согласия на обработку Персональных данных Компания вправе продолжить обработку Персональных данных без согласия субъекта Персональных данных при наличии оснований, указанных в части 2 статьи 9 Федерального закона "О Персональных данных".

10. Изменение политики конфиденциальности защиты

и обработки Персональных данных.

10.1. Компания вправе вносить изменения в настоящую Политику в одностороннем порядке без предварительного уведомления и согласия Пользователя и иных субъектов Персональных данных.

10.2. При внесении изменений в настоящую Политику в актуальной редакции указывается дата последнего обновления.

Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики. С момента размещения на Сайте новой редакции Политики предыдущая редакция считается утратившей свою силу.

10.3. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите Персональных данных настоящая Политика действует в части, не противоречащей действующему законодательству до приведения её в соответствие с такими.

11. Обратная связь.

11.1. Любые вопросы и предложения по настоящей Политике конфиденциальности и использования своих Персональных данных Пользователь вправе направлять на адрес электронной почты:

12. Реквизиты Компании

ИП. Едалов Максим Юрьевич

ИНН 580312297104

ОГРНИП 9583500062060

Г. Самара ул. Проспект Кирова 96

Тел. 89649885553

E-mail: info@roomax.ru